商業(yè)銀行信息科技內(nèi)部審計(jì)初步探討

【摘要】中國銀監(jiān)會(huì)不斷細(xì)化深入信息科技風(fēng)險(xiǎn)監(jiān)管工作，信息科技內(nèi)部審計(jì)作為商業(yè)銀行重要的信息科技風(fēng)險(xiǎn)審計(jì)手段，應(yīng)當(dāng)在信息科技專項(xiàng)審計(jì)、全面審計(jì)、重要項(xiàng)目審計(jì)中發(fā)揮重要作用。本文分析了當(dāng)前商業(yè)銀行在信息科技內(nèi)部審計(jì)方面存在的困難，并提出了相應(yīng)的應(yīng)對(duì)措施與建議。

【關(guān)鍵詞】信息科技 內(nèi)部審計(jì) 信息化

2000年以來，繼四大行成功完成數(shù)據(jù)大集中后，各股份制商業(yè)銀行紛紛加入數(shù)據(jù)大集中的行列，“科技興行”、“科技引領(lǐng)”等理念不斷沖擊人們對(duì)商業(yè)銀行信息系統(tǒng)的固有認(rèn)識(shí)，電子銀行渠道持續(xù)拓展，商業(yè)銀行的業(yè)務(wù)流轉(zhuǎn)也越來越依賴于信息系統(tǒng)的支撐。這些變化一方面使得信息科技在商業(yè)銀行中的作用不斷凸顯，另一方面也使得商業(yè)銀行的信息科技風(fēng)險(xiǎn)進(jìn)一步放大。

繼2006年中國銀監(jiān)會(huì)發(fā)布《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引》將信息科技風(fēng)險(xiǎn)納入商業(yè)銀行風(fēng)險(xiǎn)管理范疇后，2009年銀監(jiān)會(huì)又正式發(fā)布《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》（下文簡稱《指引》），進(jìn)一步加強(qiáng)商業(yè)銀行信息科技風(fēng)險(xiǎn)管理。2012年銀監(jiān)會(huì)宣布設(shè)立信息科技監(jiān)管部，負(fù)責(zé)銀行業(yè)信息科技監(jiān)管督導(dǎo)和風(fēng)險(xiǎn)防范，信息科技風(fēng)險(xiǎn)監(jiān)管工作不斷細(xì)化、深入。監(jiān)管部門對(duì)信息科技風(fēng)險(xiǎn)管理的日趨重視，客觀上提高了商業(yè)銀行信息科技風(fēng)險(xiǎn)管理工作的重視程度。

一、信息科技內(nèi)部審計(jì)范圍

《指引》提出了商業(yè)銀行IT風(fēng)險(xiǎn)管理的“三道防線”，即IT管理、IT風(fēng)險(xiǎn)管理和IT風(fēng)險(xiǎn)審計(jì)。IT風(fēng)險(xiǎn)審計(jì)作為第三道防線分為內(nèi)部審計(jì)、外部審計(jì)兩方面。按照《指引》要求，銀行內(nèi)部審計(jì)部門應(yīng)當(dāng)設(shè)立足夠資源與具有專業(yè)能力的IT內(nèi)部審計(jì)人員，并獨(dú)立于銀行的日常活動(dòng)。商業(yè)銀行IT內(nèi)部審計(jì)應(yīng)該包括以下三方面：

（一）專項(xiàng)審計(jì)

專項(xiàng)審計(jì)是指對(duì)IT安全事件進(jìn)行的調(diào)查、分析和評(píng)估。涉及重要業(yè)務(wù)系統(tǒng)、信息安全或?qū)徲?jì)部門認(rèn)為必要的特殊事件都有必要展開IT專項(xiàng)審計(jì)。

（二）全面審計(jì)

應(yīng)定期實(shí)施全行范圍內(nèi)的IT內(nèi)部審計(jì)，應(yīng)充分考慮業(yè)務(wù)性質(zhì)、規(guī)模及復(fù)雜度，區(qū)分總行信息部門（數(shù)據(jù)中心）、分行、支行等各個(gè)層級(jí)，制定全覆蓋的IT內(nèi)部審計(jì)計(jì)劃。

（三）重要項(xiàng)目審計(jì)

在進(jìn)行大規(guī)模系統(tǒng)開發(fā)時(shí)，內(nèi)部審計(jì)部應(yīng)對(duì)系統(tǒng)開發(fā)的整個(gè)生命周期進(jìn)行控制。包括項(xiàng)目前期的可行性研究、需求分析，項(xiàng)目開發(fā)，項(xiàng)目正式上線后的業(yè)務(wù)及運(yùn)維。實(shí)際操作中，可以根據(jù)項(xiàng)目情況，對(duì)各項(xiàng)目里程碑展開相應(yīng)的審計(jì)工作。

可以看出，IT內(nèi)部審計(jì)既有全面審計(jì)，也有專項(xiàng)審計(jì)，還包括重大項(xiàng)目審計(jì)，涵蓋了銀行IT的方方面面。

二、信息科技內(nèi)部審計(jì)面臨的困難

內(nèi)部審計(jì)部門應(yīng)當(dāng)從上述三個(gè)方面入手，檢查評(píng)估商業(yè)銀行信息科技系統(tǒng)和內(nèi)控機(jī)制的充分性和有效性，提出整改意見并檢查整改意見的落實(shí)情況。近年來，商業(yè)銀行根據(jù)《指引》做了大量工作，但是在信息科技內(nèi)部審計(jì)方面仍然存在諸多困難。

（一）缺乏IT審計(jì)人才

銀行普遍存在著IT審計(jì)崗位編制不足、IT審計(jì)人員招聘培養(yǎng)困難、IT審計(jì)人員專業(yè)技術(shù)能力不強(qiáng)等情況。IT審計(jì)力量的薄弱，極大地影響了IT內(nèi)部審計(jì)的成效，甚至?xí)霈F(xiàn)IT內(nèi)部審計(jì)過分依賴信息科技部門的尷尬局面。

（二）缺乏IT審計(jì)方法及規(guī)范

缺少規(guī)范的IT審計(jì)方法論，缺乏對(duì)整個(gè)銀行信息系統(tǒng)的全局認(rèn)識(shí)，在IT內(nèi)部審計(jì)中會(huì)存在不知道審什么、不知道怎么審，不容易把握IT內(nèi)部審計(jì)的重點(diǎn)，無法觸及部分風(fēng)險(xiǎn)隱患。

（三）缺乏IT審計(jì)方向

現(xiàn)階段銀行的IT內(nèi)部審計(jì)都是為了滿足監(jiān)管要求，沒有站在業(yè)務(wù)驅(qū)動(dòng)的角度，缺少為“科技引領(lǐng)”提供保駕護(hù)航的力度。

三、商業(yè)銀行如何加強(qiáng)IT內(nèi)部審計(jì)

面對(duì)上述困難與挑戰(zhàn)，銀行應(yīng)當(dāng)充分認(rèn)識(shí)IT內(nèi)部審計(jì)對(duì)銀行的重要作用，內(nèi)部審計(jì)部門主動(dòng)加強(qiáng)與信息科技部門的共同協(xié)作，加強(qiáng)IT審計(jì)專業(yè)隊(duì)伍的建設(shè)。

1.管理層及信息科技部應(yīng)當(dāng)認(rèn)識(shí)到，IT內(nèi)部審計(jì)作為IT風(fēng)險(xiǎn)審計(jì)的重要一環(huán)，是IT風(fēng)險(xiǎn)管理的重要組成部分，應(yīng)當(dāng)重視內(nèi)部IT審計(jì)部門及崗位的建立，充分發(fā)揮其積極作用。對(duì)IT內(nèi)部審計(jì)的有效管理，可及時(shí)評(píng)價(jià)IT整體風(fēng)險(xiǎn)管理的水平，可對(duì)開發(fā)項(xiàng)目進(jìn)行事中控制，分析IT事件原因、提出整改意見并監(jiān)督落實(shí)。信息科技部應(yīng)該認(rèn)識(shí)到，IT內(nèi)部審計(jì)不是故意“挑錯(cuò)找茬”，它可以積極發(fā)現(xiàn)IT潛在的管理疏漏，有效降低IT風(fēng)險(xiǎn)發(fā)生概率，提高IT全員的風(fēng)險(xiǎn)意識(shí)和認(rèn)知。

2.內(nèi)部審計(jì)部門應(yīng)當(dāng)加強(qiáng)與信息科技部的溝通與協(xié)助，可以進(jìn)行各種形式的、有益的探索與嘗試。比如，在IT風(fēng)險(xiǎn)源的制定與風(fēng)險(xiǎn)庫的建立方面充分發(fā)揮信息科技的能動(dòng)性，甚至以信息科技部的意見為主。在此基礎(chǔ)上，內(nèi)部審計(jì)部通過各類IT事件的分析、IT專項(xiàng)審計(jì)等手段不斷來豐富完善風(fēng)險(xiǎn)源。比如，加強(qiáng)與信息科技部的溝通，由其講解IT最新技術(shù)發(fā)展、整體架構(gòu)、變更管理與運(yùn)行維護(hù)等，提高自身的專業(yè)技術(shù)水平及對(duì)本行IT工作的了解。比如，加強(qiáng)與信息科技部的溝通，從審計(jì)及監(jiān)管的角度向管理層反映IT發(fā)展中亟待解決的難題，解決信息科技的實(shí)際困難。

3.銀行應(yīng)當(dāng)加強(qiáng)IT審計(jì)隊(duì)伍的建設(shè)。在內(nèi)部審計(jì)部內(nèi)設(shè)專門的IT審計(jì)崗，有條件的銀行可以設(shè)立獨(dú)立的IT審計(jì)部門。不僅要學(xué)習(xí)審計(jì)的方法論、溝通技巧，還要積極學(xué)習(xí)相關(guān)的信息技術(shù)，專業(yè)的IT審計(jì)人才應(yīng)當(dāng)掌握較為全面的信息技術(shù)，對(duì)銀行IT的各方面都要有所涉獵。加強(qiáng)IT審計(jì)人才的培養(yǎng)和儲(chǔ)備。

展望未來，銀行信息科技內(nèi)部審計(jì)不能局限于應(yīng)對(duì)監(jiān)管需求，而應(yīng)立足于銀行戰(zhàn)略與業(yè)務(wù)需求，立足于解決信息科技的各種困難。銀行應(yīng)當(dāng)將信息科技內(nèi)部審計(jì)當(dāng)成信息科技風(fēng)險(xiǎn)審計(jì)最重要的一環(huán)，建立完善的信息科技內(nèi)部審計(jì)管理體系，并將之納入銀行整體風(fēng)險(xiǎn)管理體系中。銀行應(yīng)當(dāng)充分認(rèn)識(shí)信息科技內(nèi)部審計(jì)的重要作用，有意識(shí)地引導(dǎo)與加強(qiáng)信息科技部門與內(nèi)部審計(jì)部門的合作共贏，加強(qiáng)信息科技審計(jì)專業(yè)隊(duì)伍建設(shè)，確保信息科技內(nèi)部審計(jì)真正實(shí)現(xiàn)價(jià)值，為信息科技的發(fā)展提供保障，為銀行的發(fā)展保駕護(hù)航。

參考文獻(xiàn)

[1]徐秀麗.商業(yè)銀行內(nèi)部審計(jì)對(duì)策探討[J].現(xiàn)代商貿(mào)工業(yè)，2009（18）.

（編輯：陳岑）